5 セキュリティ管理

この章では、アプリケーション・セキュリティを管理するために実行する主要なタスクと、それらのタスクを完了するために使用するツールについて説明します。

内容は次のとおりです。

• OPSS管理: 主な手順

• セキュリティ管理ツール

• Fusion Middleware Controlを使用したセキュリティ・プラクティス

• WebLogic Server管理コンソールを使用したセキュリティ・プラクティス

• OESを使用したセキュリティ・プラクティス

OPSS管理: 主な手順

アプリケーション・セキュリティ管理は、次の主要なタスクで構成される反復プロセスです。

• アプリケーションのパッケージ化およびデプロイ

• アプリケーション・ロールおよびユーザーの管理

• アプリケーション・ポリシーおよびシステム・ポリシーの管理

• アプリケーション資格証明の管理

• アプリケーションの鍵および証明書の管理

• 監査の管理

関連項目:

アプリケーションとのセキュリティのパッキングの詳細は、「セキュア・アプリケーションのデプロイ」

アプリケーション・ポリシーの管理

アプリケーション・ロールの管理

資格証明の管理

鍵と証明書の管理

監査の管理

スクリプトおよびMBeanを使用した管理

セキュリティ管理ツール

セキュリティを管理するには、次のツールのいずれかを使用します。

• Oracle WebLogic Server管理コンソール

• Fusion Middleware Control

• WebLogic Scripting Tool(WLST)

• Oracle Entitlements Server(OES)

使用するツールは、データのタイプおよびストアの種類によって決まります。

OPSSでは、サーバー・ファイルの自動バックアップおよび自動リカバリはサポートされません。すべてのサーバー構成ファイルを定期的にバックアップすることをお薦めします。バックアップの詳細は、『Oracle Fusion Middlewareの管理』のバックアップとリカバリの概要を参照してください。

ユーザーおよびグループ

ドメインでWebLogic Server Default Authenticatorを使用してアイデンティティを格納する場合は、WebLogic Server管理コンソールを使用して、格納したデータを管理します。このデータには、ユーザーおよびロールAPIでアクセスし、ユーザー・プロファイル属性を問い合せたり、ユーザーまたはグループに追加属性を挿入したりできます。

ドメインでデフォルト・オーセンティケータを使用する場合、アプリケーションでユーザーおよびロールAPIを使用してアイデンティティ・データにアクセスするためには管理サーバーが稼働している必要があります。そうではなく、デフォルト・オーセンティケータとは異なるLDAPサーバーを使用する場合は、そのLDAPサーバーのユーティリティを使用してユーザーとグループを管理します。

ポリシー、資格証明、キーおよび証明書

ポリシー、鍵、資格証明および証明書は、同じ種類の記憶域(ファイル、LDAPまたはDB)に格納されます。これらのアーティファクトを管理するためのツールは次のとおりです。

• WebLogic Server管理コンソール(アイデンティティの場合)

• Fusion Middleware Control、WLSTまたはOES (ポリシーおよび資格証明の場合)

• WLST (鍵および証明書の場合)

ポリシー、資格証明または鍵を変更した場合は、サーバーの再起動が不要です。jps-config.xmlファイルを変更した場合は、サーバーの再起動が必要です。

関連項目:

『Oracle Fusion Middlewareの管理』のOracle Fusion Middlewareの管理のスタート・ガイド

Fusion Middleware Controlを使用したセキュリティ・プラクティス

この項では、OPSSのセキュリティ関連の操作についてのみ説明します。他のセキュリティの管理操作については、『Fusion Middleware ControlによるOracle WebLogic Serverの管理』のWebLogic Serverのセキュリティを参照してください。

Oracle Enterprise Manager Fusion Middleware Control (Fusion Middleware Control)を使用して、次の操作を行います。

• インストール後、アプリケーションをデプロイする前に、セキュリティ・ストアを再関連付けします。

• インストール後、アプリケーションをデプロイする前に、OPSSのプロパティを定義します。

• アプリケーションのデプロイ時に、アプリケーション・ポリシーおよび資格証明からセキュリティ・ストアへの自動的な移行を構成します。

• アプリケーションのデプロイ後、次を実行します。

  • アプリケーション・ポリシーの管理。

  • 資格証明の管理。

  • ユーザーとグループの管理。

  • アプリケーション・ロールからユーザー、グループおよびアプリケーション・ロールへのマッピングの指定。

• ドメインのシステム・ポリシーを管理します。

• ドメインのOPSSプロパティを管理します。

関連項目:

新しい環境へのOracle ADFアプリケーションのデプロイ

Fusion Middleware Controlを使用したセキュリティ・ストアの再関連付け

Fusion Middleware Controlを使用したセキュリティ・プロバイダの構成

セキュリティ・ストアの移行

ポリシー・ストアの管理

アプリケーション・ロールの管理

システム・ポリシーの管理

資格証明の管理

WebLogic Server管理コンソールを使用したセキュリティ・プラクティス

WebLogic Server管理コンソールを使用して、次を実行します。

• WebLogicサーバーの起動および停止。

• WebLogicサーバーおよびドメインの構成。

• アプリケーションのデプロイ。

• フェイルオーバー・サポートの構成。

• WebLogic ServerドメインおよびWebLogic Serverレルムの構成。

• WebLogic Server認証プロバイダの管理。

• Microsoftクライアント、WebブラウザおよびHTTPクライアントでのシングル・サインオンの有効化。

• 管理ユーザーおよび管理ポリシーの管理。

関連項目:

『WebLogic Scripting Toolの理解』の既存のWebLogicドメインの構成

『Oracle WebLogic Serverへのアプリケーションのデプロイ』の「WebLogic Serverデプロイメントについて」

『Oracle WebLogic Serverクラスタの管理』のクラスタのフェイルオーバーとレプリケーション

『Oracle WebLogic Serverサーバーの起動と停止の管理』のサーバーの起動および停止

WebLogic Server管理コンソール・オンライン・ヘルプのサーバーおよびリソースの保護

WLSTを使用したセキュリティ・プラクティス

WebLogic Server管理コンソールを使用して実行するセキュリティ構成タスクはすべて、ドメイン構成およびアプリケーション・デプロイメントを含め、WLSTを使用しても実行できます。

Java仮想マシン(JVM)インスタンスは、最大でも1つのjps-config.xmlファイルを指します。インスタンス内でコールされるあらゆるWLSTコマンドでは、次のコマンドに渡された構成場所に関係なく、最初に取得された構成ファイルを使用します。

関連項目:

『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』

OESを使用したセキュリティ・プラクティス

OESには、次の機能を含め、認証を構成および管理するための機能が多数用意されています。

• アプリケーション・ロールおよびロール階層の検索。

• アプリケーション・ポリシーおよびロール階層の管理。

• ロール履歴の表示。

• アプリケーション・ロール・マッピングの管理。

OESの詳細は、『Oracle Entitlements Serverの管理』のOracle Entitlements Serverの概要